Doxing

13. Januar 2019

Es geht also bei dem, was in der vergangenen Woche bekannt wurde, weniger um einen Hacker-Angriff aus Mittelerdehessen als um Doxing. Den Begriff kannte ich bisher nicht. Netzpolitik.org klärt in einem Kommentar die Leserschaft dieses kleinen Blogs an diesem regnerisch-stürmischen Sonntag auf, um was es bei Doxing geht:

„Nach dem Doxing-Angriff auf Politiker und Prominente liegen nun zahlreiche Reaktionen und Vorschläge für Gegenmaßnahmen auf dem Tisch. Wir haben sie angeschaut und bewertet.

Die Aufregung war groß. Die Bild-Zeitung sprach von einem Hacker-Angriff auf Deutschland und rief in giftgrünem Layout einen „Cyber-Alarm“ aus. Doch am Ende war es nur ein 20-jähriger Mann, der mit viel Eifer und Geschick, aber wenig technisch elaboriert viele Daten von Politikern und Prominenten sammelte – und öffentlichkeitswirksam im Internet publizierte. Der anfangs von vielen Medien als großer Hack eingeordnete Datendiebstahl fiel mehr und mehr in sich zusammen.

Der Angreifer ist eher ein so genanntes Scriptkiddie als ein echter Hacker. Am Ende blieb das, was die Fachwelt Doxing nennt: das Zusammentragen und Veröffentlichen personenbezogener Daten. Doxing ist im besten Fall jugendliche Angeberei, im schlechtesten Fall eine strategische Einschüchterung von politischen Gegnern. Die jetzige Attacke liegt vermutlich irgendwo dazwischen, hatte der junge Mann aus Nordhessen dem Angriff doch einen erkennbar rechten Drall verpasst und sich zuvor in einschlägigen Foren rechtsextrem geäußert. Auffällig war auch, dass er die rechtsradikale AfD bei seinen Veröffentlichungen aussparte, während Prominente wie Jan Böhmermann, die sich gegen rechte Umtriebe engagieren, besonders in den Fokus gerieten. Das Bundeskriminalamt will dennoch keinen politisch motivierten Hintergrund der Tat sehen.

Die große persönliche Betroffenheit von Politikern führte schnell zu einer breiten und überfälligen Debatte um Datensicherheit – und direkt zu Vorschlägen, wie solche Angriffe in Zukunft verhindert und auch die Bürgerinnen und Bürger besser geschützt werden könnten. Diese Diskussion ist erst einmal gut, auch wenn der Auslöser den Betroffenen schadet. Denn der Vorfall zeigt schmerzhaft, wie schlecht die Daten vieler Menschen vor unbefugtem Zugriff geschützt sind.

Breite Debatte um Datensicherheit

So machte auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) keine gute Figur. Es wurde schon im Dezember 2018 auf einzelne Fälle aufmerksam gemacht, brachte diese aber bis zur Veröffentlichung der gesamten Daten am 3. Januar offenbar nicht im Zusammenhang. Bundesinnenminister Seehofer (CSU) versprach der Behörde 350 neue Stellen. Das ist ein richtiger Schritt, doch wichtiger wäre es, das BSI als unabhängige Behörde aufzubauen. Derzeit ist es dem Innenministerium unterstellt.

Nur ein unabhängiges BSI könnte auch zum Schutz des Bundestagsnetzwerks und der Abgeordneten eingesetzt werden. Bisher kann das BSI hier nur beratend und unterstützend tätig werden, die Regierungsnetze schützt es jedoch operativ. Solange das BSI dem Innenministerium unterstellt ist, ist eine solche Konstellation für den Bundestag schwer verstellbar: Die Exekutive hätte sonst Einblick in die Netze, Daten und Kommunikation der Legislative.

Bundesinnenminister Seehofer (CSU) sprach als Reaktion auf den Doxing-Fall vom Aufbau eines „Cyber-Abwehrzentrum Plus“, konkretisierte die Pläne aber nicht. Außerdem kündigte sein Ministerium ein neues IT-Sicherheitsgesetz an, das eine bessere Früherkennung der Veröffentlichung gestohlener Daten ermöglichen solle. Aussagen des Innenstaatssekretärs Stephan Mayer (CSU) in der ZDF-Sendung „Maybritt Illner“ am Donnerstagabend deuten darauf hin, dass es sich dabei um eine Echtzeit-Überwachung der gesamten Kommunikation in sozialen Netzwerken handeln könnte. Eine solche Überwachung würde jedoch einen schwerwiegenden Eingriff in Grundrechte darstellen.

Neue Grundrechtseingriffe durch Frühwarnsystem?

Im Gespräch sind auch gesetzliche Regelungen, die eine schnellere Reaktionszeit von sozialen Netzwerken wie Twitter verlangen. Der jugendliche Angreifer hatte mehrere Accounts auf dem Kurznachrichtendienst zur Verbreitung seiner Veröffentlichungen genutzt. Der Dienst sperrte erst einige Stunden nach Hinweisen die Accounts, allerdings hatten da schon viele Nutzer die Daten gesehen und weiterverbreitet. Eine geringere Reaktionszeit könnte zwar die Verbreitung solcher Veröffentlichungen eindämmen, bringt aber auch Probleme mit sich. Die von staatlichen Stellen angefragten Unternehmen hätten nur sehr wenig Zeit, den Fall selbst zu überprüfen und (juristisch) einzuschätzen. Es bestünde die Gefahr, dass zu viel gesperrt und gelöscht würde, wenn staatliche Stellen auf Zuruf und ohne Gerichtsbeschluss die Löschung von Inhalten und Accounts – unter Androhung von Strafgeldern – erwirken können. Hier wäre ein Eingriff in das Grundrecht auf Meinungsfreiheit die Folge.

Den wohl unsinnigsten Vorschlag in der Debatte machte der Union-Fraktionsvize Thorsten Frei. Er forderte, man solle die rechtlichen Rahmenbedingungen für einen „Hackback“ schaffen. Darunter versteht man eine Art digitalen Gegenschlag nach dem Motto „Angriff ist die beste Verteidigung“. Diese Art von Gegenangriffen sind mit mannigfaltigen rechtlichen Problemen verbunden und nicht immer technisch sinnvoll. Sie sind es definitiv nicht in einem Fall, wo Nutzerinnen und Nutzer schlechte Passwörter benutzen, deswegen ein Angreifer an persönliche Daten gelangt und diese dann im Netz breitflächig veröffentlicht. Der staatliche digitale Gegenschlag müsste in diesem Fall die Server von Twitter, aber auch die von zahlreichen Internet-Hostern, auf denen die personenbezogenen Daten lagern, attackieren, diese lahmlegen und vielleicht sogar die Daten auf diesen Servern löschen, um die Verbreitung abzustellen. Das ist mit keinem Recht der Welt vereinbar.

Defensive Strategie und Aufbau von Digitalkompetenz nötig

Überhaupt schwächt staatliches Hacking die IT-Sicherheit für alle Bürger. Dies zeigt der Einsatz von Staatstrojanern. Diese Maßnahme wurde in den letzten Jahren auf Bundesebene und in vielen Bundesländern eingeführt. Für den Einsatz von Staatstrojanern benötigt man Sicherheitslücken in Computerprogrammen. Wird der Staat zum Hacker, der seine Staatstrojaner nutzen will, hat er plötzlich ein Interesse, dass diese Sicherheitslücken offen bleiben. Dafür muss er sie selbst finden oder auf dem Schwarzmarkt einkaufen. Staatstrojaner und Online-Durchsuchungen sind also nicht nur aus bürgerrechtlicher Sicht eine Bedrohung, sondern auch für die Datensicherheit aller.

Denn sinnvoller als staatliches Hacking ist eine breit angelegte Kampagne zur Verbesserung der Datensicherheit. Neben einer personellen Stärkung der Datenschutzbehörden könnte digitale Kompetenz unterschiedlichster Zielgruppen gefördert werden, damit diese lernen, wie sie sich besser schützen. Dabei ist Datensicherheit nur ein kleiner Teil der zu vermittelnden Digitalkompetenz.

Frank Rieger vom Chaos Computer Club schlug im ZDF eine defensive Cyberstrategie mit über lange Zeit fortgesetzten Investitionen in sichere Informationstechnik vor: „Der beste Ansatz dazu ist die staatliche Finanzierung einer breiten Landschaft von Open-Source-Komponenten, die in sicheren Programmiersprachen nach modernen Kriterien geschrieben, regelmäßig auditiert und die auch kommerziell verwendet werden können.“ Zu diesen Werkzeugen gehören auch Passwortmanager und eine einfach zu bedienende E-Mail-Verschlüsselung, die dahingehend entwickelt werden müssen, dass sie überall funktionieren und leicht zu bedienen sind. Denn ein großer Teil der Schlacht um Datensicherheit kann nur auf den Computern und Smartphones der Bürgerinnen und Bürgern gewonnen werden.

Für die Stärkung der Datensicherheit und des Datenschutzes kann viel getan werden. Bislang ist nur ein kleiner Teil der Vorschläge aus der Politik dazu geeignet, vergleichbare Fälle in Zukunft zu einzudämmen oder zu verhindern. Es wird sich allerdings zeigen müssen, ob die Politik sinnvolle Maßnahmen ergreift oder solche, die wieder einmal die Grundrechte der Bürgerinnen und Bürger beschneiden.


Ein Beitrag von  auf netzpolitk.org (CC  Creative Commons BY-NC-SA 4.0.

Schadsoftware

10. Juni 2016

BSI2Der Neid der Freunde und Kollegen ist ihnen gewiss: Den Glücklichen, die der begehrten Eintrittskarten für ein Spiel in einem französischen EM-Stadion ergattert haben. Zudem können sie die Atmosphäre eines Public-Viewing-Events am Austragungsort genießen. Bevor sich die Fans auf die Reise nach Frankreich begeben, sollten sie nicht nur für eine vollständige Ausrüstung mit Trikot und Schal sorgen. Denn um die Daheimgebliebenen jederzeit mit Eindrücken der Reise zu versorgen, setzen viele auf das mobile Internet. Für den ungetrübten Spaß an der Kommunikation sollte man diese Tipps vom „Bundesamt für Sicherheit in der Informationstechnik“ (kurz BSI)  beachten:

  • Verschlüsseln Sie sensible Daten auf Ihrem Gerät und machen zusätzlich eine Sicherungskopie auf einem externen Datenträger, den Sie zuhause sicher verwahren. Im Falle eines Datenverlusts durch Schadsoftware oder Diebstahl des mobilen Geräts sind zumindest Ihre Daten gerettet.
  • Verschicken Sie keine sensiblen und vertraulichen Daten (z.B. Kreditkarten- oder Bankdaten), wenn Sie in einem öffentlichen WLAN eingeloggt sind, da die Daten dort in den allermeisten Fällen unverschlüsselt übertragen werden und so leicht in falsche Hände geraten können.
  • Aktivieren Sie drahtlose Schnittstellen wie Bluetooth, WLAN oder NFC nur dann, wenn Sie sie tatsächlich nutzen, denn auch auf diesem Wege kann ein Schadcode in Ihr Gerät geschleust werden.
  • Besuchen Sie mit Ihrem Gerät möglichst nur Ihnen bekannte Webseiten. Am besten setzen Sie noch zuhause Lesezeichen für jede Seite, dann vermeiden Sie auch, durch einen Tippfehler auf einer schadhaften Seite zu landen.
  • Falls Sie im Ausland ein Spiel über Ihr mobiles Gerät via Livestream verfolgen wollen, sollten Sie auf seriöse Anbieter achten wie beispielsweise die offiziellen TV- und Rundfunkanbieter. Denn auch hinter vermeintlichen Links zu Livestreams verbergen sich leider häufig Fallen von Cyber-Kriminellen, die zu einer Infektion des Geräts mit Schadcode führen.

Das BSI hat eine Reihe umfassender Tipps für die sichere Computer- und Internetnutzung auf Reisen zusammengestellt – übrigens auch für die, die nicht in Frankreich Fußball gucken, und die, die einen neuen Fernsehapparat erstehen.

SiBa

26. November 2015

SicherimNetzDie Verbraucher-App Sicherheitsbarometer (SiBa) informiert Bürger und  Kleinunternehmen über aktuelle Risiken im Internet und stellt dazu passende Sicherheitstipps bereit. Die Risikostufen aktueller Meldungen  sind durch Ampelfarben kenntlich gemacht.

Über außerordentliche Gefahren informiert das Sicherheitsbarometer durch Push-Nachrichten direkt aufs Smartphone. Die App wurde im Rahmen der Plattform „Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft“ des IT-Gipfels der Bundesregierung 2015 entwickelt und soll dabei unterstützen, die Ziele der Digitalen Agenda der Bundesregierung zu erreichen. Das BSI ist einer der Partner für das Angebot.

Das SiBa in jedem gängigen App-Store sowie auf der Seite „Deutschland sicher im Netz“ [https://www.sicher-im-netz.de/siba] kostenlos für Android, iOS  und Windows Mobile heruntergeladen werden.

Menschenrecht

26. Januar 2012

Menschenrechte: Die englische "Bill of rights" 1689 - Quelle wikipedia

Der Datenschützer Patrick Breyer und der Bundestagsabgeordnete Wolfgang Wieland (Sprecher für Innere Sicherheit der Fraktion Bündnis 90/Die Grünen) haben bei dem Europäischen Gerichtshof für Menschenrechte Beschwerde gegen ein Gesetz zur Vorratsspeicherung der Internetnutzung eingereicht[1](Beschwerde Nr. Po77066/11). Die Entscheidung des Gerichtshofs könnte der umstrittenen verdachtslosen Vorratsdatenspeicherung in Europa ein Ende setzen.

Das am 18. Juni 2009 trotz der Proteste vieler Bürger[2] beschlossene „Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes“[3] ermächtigt das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmals, ohne Anlass Informationen über die elektronische Kommunikation jedes Bürgers mit den 500.000 Bundesbediensteten und Bundestagsabgeordneten (z.B. per E-Mail) aufzuzeichnen. Erfasst wird dabei auch jede Nutzung öffentlicher Internetportale von Bundesbehörden, etwa wer sich wann für welche Internetseiten interessiert hat und nach welchen Worten er dort gesucht hat. Dadurch kann beispielsweise ermittelt werden, wer sich auf dem Internetportal der Bundeszentrale für gesundheitliche Aufklärung über Impotenz informiert hat.[4]

„Durch dieses Gesetz ist das BSI zum Bundesamt für Unsicherheit in der Informationstechnik geworden. Es ermächtigt zu einer grenzenlosen Vorratsdatensammlung. In grotesker Weise wird verkannt, dass der Bürger nicht nur einen Anspruch auf Sicherheit durch den Staat, sondern auch einen Anspruch auf Sicherheit vor dem Staat hat“, erklärte Wolfgang Wieland hierzu.

Nachdem es das Bundesverfassungsgericht abgelehnt hat, über die Beschwerde gegen das Gesetz zu entscheiden,[5] haben die Beschwerdeführer nun den Europäischen Gerichtshof für Menschenrechte angerufen.

„Ich hoffe, der Menschenrechtsgerichtshof wird dem rumänischen Verfassungsgerichtshof folgen und das Prinzip einer verdachtslosen Vorratsdatenspeicherung generell für unvereinbar mit der Europäischen Menschenrechtskonvention erklären“, erklärt Patrick Breyer. „Damit wäre nicht nur das BSI-Gesetz, sondern auch die fatale EU-Richtlinie zur Vorratsdatenspeicherung vom Tisch. Bis zur Entscheidung des Gerichtshofs appelliere ich an FDP, CDU und CSU, ihre Pläne zur verdachtslosen Vorratsspeicherung aller unserer Internet-Verbindungen[6] aufzugeben. Eine derart wahllose Aufzeichnung von Informationen über unsere Internetnutzung droht die Privatsphäre der 50 Mio. Internetnutzer in Deutschland dem permanenten Risiko von Datenpannen, Datenmissbrauch und falschem Verdacht auszusetzen.“

Hintergrund:

Paragraf 5 Absatz 1 Satz 1 Nr. 1 des BSI-Gesetzes ermächtigt das Bundesamt für Sicherheit in der Informationstechnik, Informationen über die elektronische Kommunikation von und mit Behörden, Mitarbeitern und Abgeordneten des Bundes aufzuzeichnen und automatisiert auszuwerten. Namentlich wird die Aufzeichnung von Verkehrsdaten über jede computergestützte Kommunikation mit Bundesbehörden (z.B. per E-Mail, Internettelefonie oder Instant Messaging) sowie über jede Nutzung öffentlicher Internetportale von Bundesorganen erlaubt.

Paragraf 5 Absatz 1 Satz 1 Nr. 2 BSI-Gesetz ermächtigt das BSI, die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auszuwerten. Dies betrifft nicht nur Verkehrsdaten über die computergestützte Kommunikation mit Bundesbehörden (z.B. per E-Mail) und Daten über die Nutzung öffentlicher Internetportale. Vielmehr dürfen auch der Inhalt computergestützter Kommunikation mit Bundesbehörden (z.B. E-Mails) sowie die von öffentlichen Internetportalen abgerufenen und dorthin übertragenen Inhalte automatisiert überprüft und ausgewertet werden.

Paragraf 5 Absatz 2 BSI-Gesetz ermächtigt das BSI unter minimalen Voraussetzungen, die näheren Umstände jeder elektronischen Kommunikation von und mit Behörden, Mitarbeitern und Abgeordneten des Bundes drei Monate lang auf Vorrat zu speichern. Auf Vorrat gespeichert werden dürfen namentlich Protokolle gewechselter E-Mails sowie Protokolle der Nutzung öffentlicher Internetportale von Bundesorganen und Bundesbehörden.

Dokumente:

  1. Die Beschwerde an das Bundesverfassungsgericht (August 2010)
  2. Die Nichtannahme durch das Bundesverfassungsgericht (Mai 2011)
  3. Die Beschwerde an den Menschenrechtsgerichtshof (Dezember 2011)
Quelle AK Vorratsdatenspeicherung